Przetwarzanie i ochrona danych osobowych, czyli jak chronić swoją prywatność

Warto sobie przypomnieć, czym są dane osobowe i w jakich sytuacjach są przetwarzane.

PRZYPADEK 1.

Dane osobowe, czyli właściwie co?

Ostatnio zapisałam się na zajęcia artystyczne prowadzone przez jakąś spółkę. Przed rozpoczęciem zajęć poproszono uczestników o zapoznanie się z regulaminem pracowni i informacją o przetwarzaniu danych osobowych. Czy skoro zostałam poproszona wyłącznie o podanie imienia i nazwiska ta spółka w ogóle przetwarza moje dane osobowe?

Czym właściwie są dane osobowe? Odpowiedź na to podstawowe pytanie zawiera grafika >patrz schemat 1.

Zwróć proszę uwagę, że dane osobowe to informacje o ludziach, które pozwalają odróżnić konkretną osobę od innych osób, czyli nas identyfikują. Jeżeli zatem zastanawiasz się, czy jakaś informacja to dane osobowe czy nie, odpowiedz sobie na pytanie, czy ta informacja (albo połączenie kilku informacji) pozwala na identyfikację danej osoby.

Zakres tych informacji jest bardzo szeroki. Mogą to być informacje obiektywne, jak i subiektywne, prawdziwe, jak i niesprawdzone. Przyjrzyj się następującym przykładom:

- XY jest kierownikiem referatu oświaty w Urzędzie Miasta Z. Rok temu się rozwiodła. To życzliwa urzędniczka, która chętnie pomaga mieszkańcom w rozwiązywaniu ich problemów.

- AB jest aktualną mistrzynią Polski w tej dyscyplinie, ale nie zasługiwała na wygraną w ostatnich zawodach, ponieważ stopień trudności jej choreografii był niski. Prywatnie jest podobno opryskliwa.

Pierwsza podkreślona część stanowi informację obiektywną, druga – subiektywną.

Wbrew częstemu przekonaniu pojęcie danych osobowych nie obejmuje tylko życia prywatnego ludzi (naszych przekonań, życia intymnego, rodzinnego), ale też innych okoliczności, np. kariery zawodowej, aktywności społecznej.

Czytaj więcej

Dane osobowe

Co zrobić, gdy doszło do wycieku danych osobowych

Otrzymujesz podejrzane wiadomości od nieznanych nadawców, a może zauważyłeś na rachunku przelew za usługę, której na pewno nie zamawiałeś? Przyczyną może być wyciek danych osobowych, które podałeś w trakcie rejestracji konta w sklepie internetowym lub przy okazji umawiania wizyty u lekarza. Warto wiedzieć, jak zachować się w takiej sytuacji, żeby uchronić się przed negatywnymi skutkami ujawnienia danych osobowych.

Odpowiadając na zadane wcześniej pytanie, należy wskazać, że imię i nazwisko uczestnika zajęć bezpośrednio go identyfikuje. Zatem imię i nazwisko stanowią dane osobowe.

PRZYPADEK 2.

Co z RODO na weselu, chrzcinach i osiemnastkach?

Podczas przyjęcia weselnego zamierzamy skorzystać z usług fotografa i kamerzysty, ponieważ chcielibyśmy mieć pamiątkę z tego ważnego dla nas dnia. Planujemy również wyświetlić prezentację multimedialną z fotografiami członków naszych rodzin oraz przyjaciół. Czy przed rozpoczęciem uroczystości powinniśmy poprosić gości oraz osoby, których zdjęcia znajdą się w prezentacji, o zgodę na przetwarzanie ich danych osobowych? Czy ich wizerunek to w ogóle dane osobowe? Może wystarczy, jeśli nie będziemy zamieszczać ich imion, nazwisk osób oraz dat i miejsc wydarzeń uwiecznionych na fotografiach?

Ta sytuacja zawiera kilka ważnych kwestii. Skoro nie jesteśmy pytani o zgodę w takich sytuacjach, zdawać by się mogło, że po prostu kwestia ochrony danych osobowych w pewnych kręgach lub sytuacjach się nie przyjęła i po prostu pary młode w ferworze ślubnych przygotowań o RODO zapominają. Czy rzeczywiście zaczynają nowe życie od naruszenia przepisów?

Już wiemy, że podczas przygotowywania przyjęcia są przetwarzane dane osobowe. Gdzie je znajdziemy? Na liście gości, na winietkach, w zaproszeniach. Para młoda zbiera też informacje o liście wegetarian, wieku dzieci itd. Czy wizerunek gości uwieczniony na zdjęciach i nagraniach to również dane osobowe? Tak, ponieważ pozwala na odróżnienie ich od innych członków grupy.

W tym miejscu warto wspomnieć, że w maju 2023 roku przez IMAS International na reprezentatywnej próbie 1007 Polaków na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów Biura Informacji Gospodarczej pod patronatem Urzędu Ochrony Danych Osobowych oraz Instytutu Prawa Ochrony Danych Osobowych zostało przeprowadzone badanie „Wiedza na temat bezpieczeństwa ochrony danych osobowych w Polsce” (vide: https://uodo.gov.pl/pl/138/2728).

Na pytanie, co wchodzi w skład danych osobowych, prawie 92 proc. respondentów odpowiedziało, że PESEL. Tylko kilka procent mniej wskazało imię i nazwisko. Natomiast mniej niż połowa wiedziała, że również wizerunek stanowi dane osobowe.

Co ciekawe, na odciski palców, które pozwalają na jednoznaczną identyfikację osoby, zwrócił uwagę tylko co trzeci respondent >patrz schemat 2.

Wracając do omawianego przypadku, należy podkreślić, że podczas przyjęcia weselnego są przetwarzane dane osobowe. Natomiast RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej. Organizowanie własnego przyjęcia weselnego pozostaje bez związku z działalnością zawodową lub handlową pary młodej. Działalność osobista lub domowa może polegać na korespondencji i przechowywaniu adresów czy podtrzymywaniu więzi społecznych. Takich przypadków RODO nie reguluje, mimo że mogą one obejmować przetwarzanie danych osobowych.

PRZYPADEK 3.

RODO w kościołach i związkach wyznaniowych

Kościoły przetwarzają dane osobowe swoich wiernych. Czy w związku z tym po prostu zastosowanie do nich znajduje RODO, a nadzór sprawuje Prezes Urzędu Ochrony Danych Osobowych?

Czytaj więcej

Dane osobowe

Jak chronić swoje dane osobowe podczas rozmów z telemarketerami

Pamiętasz, ile razy dostałeś do zapoznania się klauzulę zaczynającą się od słów: „Administratorem twoich danych osobowych jest ...…….; Twoje dane będą przetwarzane w celu ...……. Przysługują ci następujące prawa: ...…….”? Albo usłyszałeś tę informację na początku rozmowy telefonicznej? A może widziałeś ją wywieszoną w urzędzie albo na tabliczce informującej o stosowaniu monitoringu wizyjnego? Jaki był cel zamieszczania tych komunikatów? Jak się zapewne domyślasz – spełnienie obowiązku prawnego.

Co prawda kościoły lub związki wyznaniowe są zobowiązane do przestrzegania RODO, jednak te z nich, które w momencie wejścia w życie RODO, stosowały już wewnętrzne zasady ochrony danych osobowych, posiadają dalszą możliwość stosowania swoich, autonomicznych, szczegółowych regulacji w tym zakresie. Te regulacje muszą być jedynie dostosowane do RODO.

Należy wskazać, że Kościół katolicki w Polsce uregulował kwestie dotyczące ochrony prywatności i intymności w kodeksie prawa kanonicznego, w regulacjach Konferencji Episkopatu Polski (np. przepisy dotyczące prowadzenia ksiąg parafialnych) oraz w stosownych instrukcjach. Nadzór nad ich przestrzeganiem sprawuje kościelny inspektor ochrony danych, a nie prezes urzędu ochrony danych osobowych.

Kilkanaście kościołów i związków wyznaniowych w Polsce posiada autonomiczne regulacje dotyczące danych osobowych.

PRZYPADEK 4.

Czy przetwarzanie danych osobowych jest zakazane?

Rezerwując stolik w restauracji, zamawiając tort w cukierni czy zapisując się do fryzjera lub lekarza, podaję swoje imię i nazwisko. Czy to prawda, że jest to niezgodne z prawem i w takich sytuacjach powinno się podawać jakiś pseudonim lub hasło?

Nie jest prawdą, że RODO zakazuje przetwarzania danych osobowych. Jego celem jest wprowadzenie jednolitych zasad ochrony danych. Przetwarzanie danych jest niezbędnym elementem naszego funkcjonowania. Gdy zawieramy umowę, musimy zidentyfikować jej strony. Następnie wymieniamy się danymi w celu kontaktu podczas jej realizacji. Każdego dnia przetwarzasz dane osobowe: gdy zamawiasz nowe spodnie w sklepie internetowym, wynajmujesz mieszkanie, zaciągasz kredyt, zapisujesz się na nowe zajęcia, wysyłasz e-maile lub do kogoś dzwonisz, szukasz pracy, wykupujesz wycieczkę. Ważne jednak, żeby te dane były właściwie chronione. W tym celu powstało kilka zasad, zgodnie z którymi np. nie powinno się zbierać danych na zapas (co prawda te dane nie są niezbędne do realizacji celu, ale może kiedyś się przydadzą). Jeżeli zamawiasz ciasto i jesteś proszony o podanie imienia i nazwiska, nie jest to nadużycie – przecież zawierasz umowę z cukiernikiem. Natomiast zwróć uwagę, czy ilość wymaganych danych jest dostosowana do celu, np. pytanie o nazwisko panieńskie matki, stan cywilny czy ilość dzieci nie będzie uzasadnione.

PRZYPADEK 5.

Czym są dane wrażliwe?

Bardzo często słyszę, że RODO dotyczy tylko danych wrażliwych. Dopóki ich nie przetwarzam, to obowiązki w zakresie ochrony danych osobowych mnie nie dotyczą. Czy to prawda?

Nie. Dane wrażliwe, inaczej sensytywne (czyli szczególne kategorie danych) to dane, które zasługują na większą ochronę, ponieważ kontekst ich przetwarzania może powodować poważne ryzyko dla naszych praw i wolności. Do tej grupy zaliczamy dane dotyczące stanu zdrowia, ujawniające pochodzenie rasowe lub etniczne, dane dotyczące wyznania, orientacji seksualnej, dane biometryczne (np. odciski palców). Ich przetwarzanie może powodować poważne ryzyko naszych praw i wolności. Zwróćmy uwagę, że konsekwencje wycieku imienia i nazwiska oraz np. rozmiaru naszych butów co do zasady nie są tak poważne jak wyciek danych dotyczących orientacji seksualnej czy stanu zdrowia, który może prowadzić do dyskryminacji na rynku pracy czy w środowisku sąsiedzkim. Z tego powodu dane sensytywne są przetwarzane z większą ostrożnością. Nie zmienia to jednak faktu, że RODO obejmuje zarówno dane zwykłe, jak i wrażliwe. Zatem jeżeli masz nawet ograniczony dostęp do danych zwykłych (możesz je przeglądać, ale nie np. modyfikować czy usuwać), przetwarzasz dane osobowe. Przetwarzanie jest pojęciem bardzo szerokim. Dotyczy wszystkich czynności wykonywanych na danych osobowych.